Tabnabbing to rodzaj phishingu, który wykorzystuje nieuwagę użytkownika i specyfikę działania przeglądarki. Nazwa pochodzi od połączenia angielskich słów: tab (oznaczające kartę w przeglądarce internetowej) oraz nabbing (określenie na porwanie, przechwycenie). Razem tworzą termin, który można przetłumaczyć jako porwanie karty lub przechwycenie przeglądarki. Atak polega na zmianie zawartości otwartej wcześniej zakładki w czasie, gdy użytkownik przestaje ją aktywnie obserwować.

 

Mechanizm działania jest prosty, ale skuteczny. Użytkownik otwiera stronę, która z pozoru nie budzi podejrzeń. Następnie przełącza się na inną kartę i zapomina o wcześniejszej. W tym czasie złośliwy skrypt zmienia jej zawartość. W wariancie reverse tabnabbing natomiast nowo otwarta karta podmienia okno źródłowe na stronę phishingową.

 

Najczęściej strona zostaje podmieniona na fałszywy panel logowania do znanego serwisu, systemu bankowego lub aplikacji webowej. Powróciwszy do tej zakładki, użytkownik nie zauważa manipulacji i wprowadza dane uwierzytelniające. Trafiają one wówczas prosto do cyberprzestępcy.

 

Powróciwszy do tej zakładki, użytkownik nie zauważa manipulacji i wprowadza dane uwierzytelniające. Trafiają one wówczas prosto do cyberprzestępcy.

   

Według 2025 Data Breach Investigations Report firmy Verizon czynnik ludzki odpowiadał za blisko 60% wszystkich incydentów. Raport wskazuje również na naruszenia poświadczeń jako najczęstszy wektor ataków. Mimo to wciąż wiele osób nie wie, co to jest tabnabbing, ponieważ nie zalicza się on do najpowszechniejszych narzędzi w arsenale cyberprzestępców. To nie znaczy, że należy go lekceważyć.

 

Ze względu na niską powszechność ataku producenci przeglądarek internetowych nie wprowadzają zabezpieczeń, które chroniłyby przed nim w stu procentach. Ponadto przekierowania nieaktywnych kart mają niekiedy uzasadnione cele, a ich wyłączenie mogłoby spowodować awarię niektórych aplikacji.

 

Część użytkowników ma tendencję do otwierania wielu kart jednocześnie. Trudno wówczas zapamiętać, co dokładnie było w każdej z nich. Cyberprzestępcy wykorzystują tę właśnie nieuwagę, podszywając się pod zaufane serwisy w sposób trudny do wykrycia.

 

Złośliwy link może też być przygotowany w taki sposób, żeby strona docelowa mocno angażowała ofiarę, dodatkowo zmniejszając jej czujność. Może to być np. fałszywa strona bardzo atrakcyjnego kursu lub szokujący fake news w interesującym użytkownika temacie. Podobnie jak w przypadku spear phishingu, pretextingu czy whalingu, dopasowanie treści do preferencji ofiary znacząco zwiększa skuteczność ataku.

 

Fałszywa strona logowania użyta w ataku zwykle jest przygotowana w taki sposób, że wizualnie niczym nie różni się od prawdziwej. Ma to na celu wzbudzić zaufanie ofiary i uśpić jej czujność.

 

Tabnabbing nie wykorzystuje też luk w oprogramowaniu. Opiera się wyłącznie na standardowych funkcjach JavaScript i HTML, takich jak window.location, window.onblur, setTimeout czy meta refresh. To sprawia, że wiele systemów bezpieczeństwa nie traktuje takiej aktywności jako podejrzanej.

 

Złośliwy skrypt bierze się z jednego z kilku źródeł:

 

• strona od początku należy do atakującego i została specjalnie przygotowana do ataku,
• prawdziwa strona została zainfekowana, np. poprzez podatność XSS czy niezabezpieczony panel administracyjny,
• użytkownik klika w link z parametrem target=”_blank” z zaufanej strony, a witryna docelowa została zainfekowana lub przejęta przez atakującego.

 

W żadnym z tych wariantów nie jest wymagane wcześniejsze pobranie malware przez użytkownika. Złośliwe oprogramowanie może pojawić się jako kolejny etap ataku, ale sam tabnabbing odbywa się w samej przeglądarce.

   

Tabnabbing może rozpocząć się od pozornie nieszkodliwej wiadomości, np. na komunikatorze czy poczcie e-mail. Jak może przebiegać atak?

 

Wiadomość od znajomego na portalu społecznościowym:

 

1. Użytkownik otrzymuje wiadomość na Facebooku od kogoś z listy znajomych, nie wiedząc, że dane logowania tej osoby zostały przechwycone przez cyberprzestępcę.

 

2. Treść wiadomości zachęca użytkownika do kliknięcia w link, np. poprzez zapowiedź ekscytującego newsa.

 

3. Link prowadzi do autentycznie wyglądającej strony, która otwiera się w nowej zakładce.

 

4. Po przeczytaniu newsa użytkownik pozostawia tę kartę otwartą i zaczyna oglądać inną.

 

5. Po kilku minutach wraca do porzuconej zakładki, ale zamiast newsa widzi ekran logowania do Facebooka. Myśląc, że sesja wygasła, podaje swoje dane uwierzytelniające.

 

6. Dane trafiają do atakującego.

 

W takim scenariuszu atak opiera się na zaufaniu nadawcy do odbiorcy i automatycznych reakcjach użytkownika.

 

E-mail z ofertą szkoleniową dla specjalistów IT:

 

1. Pracownik działu IT otrzymuje profesjonalnie przygotowany e-mail z zaproszeniem na darmowe szkolenie.

 

2. Wiadomość zawiera logo znanej firmy, poprawne formatowanie i link do zapisu.

 

3. Po kliknięciu w link w nowej karcie otwiera się strona z programem kursu.

 

4. W czasie, gdy użytkownik przegląda treść na stronie opisującej program, złośliwy skrypt zmienia pierwotną kartę na formularz logowania.

 

5. Użytkownik wraca do wcześniejszej karty i podaje dane uwierzytelniające, które trafiają do atakującego.

 

Tabnabbing nie musi wyglądać jak klasyczny phishing. Może być bardziej subtelny i kontekstowy, przez co też trudniejszy do wykrycia.

   

Ponieważ tabnabbing wykorzystuje głównie nieuwagę użytkowników, skuteczna ochrona powinna opierać się na zwiększaniu poziomu security awareness wśród pracowników. Regularne szkolenia i rozmowy, doskonalenie się w nowych technikach cyberataków oraz podnoszenie świadomości jest w tym przypadku szczególnie ważne. Podatność pracowników na ataki socjotechniczne można sprawdzić, dzięki usłudze Phishing-on-Demand, w trakcie której przeprowadzona zostanie kontrolowana próba wykorzystania takich technik. Specjaliści Netii projektują tego typu kampanie phishingowe oraz regularnie organizują szkolenia z zakresu cyberbezpieczeństwa.

 

Chcąc zwiększyć poziom ochrony, można też wspomóc pracowników technicznymi rozwiązaniami z obszaru bezpieczeństwa informatycznego. Netia oferuje kompleksowy monitoring aktywności sieciowej wraz z błyskawiczną reakcją na incydenty realizowane przez zespół Security Operations Center. Dodatkowo można ochronić skrzynki pocztowe pracowników, przed SPAM-em i złośliwymi linkami, dzięki usłudze Netia Ochrona Poczty.